夜雨聆风一位俄罗斯安全研究员在Habr论坛上发帖,称对国家支持的即时通讯软件MAX进行逆向工程后,发现至少15个安全问题。该软件被指具备截图对话、秘密录音、伪造聊天记录、直接删除消息等功能,还能绕过Google Play强制更新、上传通讯录,并检测用户是否使用VPN。
MAX开发团队迅速联系发帖作者,称分析报告"纯属伪造",并声明"不监控用户、不收集个人数据、技术上不具备监听通话能力",强调所有用户数据均受安全保护。
这并非首次出现类似指控。今年3月,Habr另一用户已曝光MAX的VPN监控能力。4月,俄罗斯数字权利组织RKS Global发现MAX位列30款检测VPN连接的安卓应用之一。
MAX由俄罗斯科技巨头VK开发,后者同时运营Mail.ru邮箱和VKontakte社交平台。该软件深度整合政府服务,2025年3月上线,同年9月起成为俄罗斯新售手机和平板的强制预装应用。
去年已有安全研究人员指出该应用"具有巨大的监控潜力"。近期,美国云服务商Cloudflare曾将MAX标记为"间谍软件",但据独立俄媒Meduza报道,该标签24小时后被移除。
TechRadar就Habr帖子中的25项技术指控征询RKS Global专家意见。
················································
该组织发言人表示:14项在代码中完全确认,6项部分确认,5项无法静态验证,"没有一项完全虚假"。RKS Global认为截图指控"最站不住脚"——未发现截屏并回传的代码。但专家确认MAX确实具备聊天记录录制、消息删除和VPN检测功能,部分证实了伪造聊天的指控。
(信息来源:摸鱼算法)
